Sicherheitsforscher sagen, dass böswillige Hacker eine neu entdeckte Schwachstelle in Fortinet-Firewalls ausgenutzt haben, um in Firmen- und Unternehmensnetzwerke einzudringen.
In einem Beratung am Dienstag veröffentlichtDer Sicherheitsprodukthersteller Fortinet bestätigte, dass eine als kritisch eingestufte Schwachstelle in seinen FortiGate-Firewalls, die als CVE-2024-55591 verfolgt wird, „in freier Wildbahn“ ausgenutzt wird.
Fortinet stellte Patches zur Verfügung, aber Sicherheitsforscher warnen, dass Hacker die Schwachstelle seit Dezember massenhaft als Zero-Day-Sicherheitslücke ausnutzen – also bevor Fortinet von der Schwachstelle wusste und Korrekturen zur Verfügung stellte.
Dies ist das jüngste Beispiel dafür, dass Hacker eine Schwachstelle in einem beliebten Unternehmenssicherheitsprodukt ausnutzen, das Unternehmensnetzwerke vor Eindringlingen schützen soll. Die Nachricht über den Fortinet-Bug landet Tage, nachdem bekannt wurde, dass Angreifer eine separate Zero-Day-Schwachstelle in Ivanti VPN-Servern ausnutzen, die den Zugriff auf die Netzwerke der Kunden ermöglicht.
Das sagte das Cybersicherheitsunternehmen Arctic Wolf in einem Blogbeitrag Letzte Woche gaben seine Forscher bekannt, dass sie kürzlich eine „Massenausbeutungskampagne“ beobachteten, bei der Fortinet FortiGate-Firewall-Geräte betroffen waren, deren Verwaltungsschnittstellen dem öffentlichen Internet ausgesetzt waren.
Stefan Hostetler, leitender Threat-Intelligence-Forscher bei Arctic Wolf, bestätigte gegenüber Tech, dass diese beobachtete Ausnutzung mit der neu bestätigten Schwachstelle CVE-2024-55591 in Fortinet-Firewalls zusammenhängt.
Hostetler sagte gegenüber Tech, dass Arctic Wolf „eine Häufung von Einbrüchen im Bereich von Dutzenden von Fortinet-Geräten beobachtet“ habe, merkt jedoch an, dass dies nur eine „begrenzte Stichprobe im Vergleich zur tatsächlichen Gesamtzahl der Geräte sei, die wahrscheinlich betroffen waren“.
„Die Beweise deuten darauf hin, dass versucht wird, eine große Anzahl von Geräten innerhalb eines engen Zeitrahmens auszunutzen“, fügte Hostetler hinzu.
Als Fortinet-Sprecherin Tiffany Curci von Tech kontaktiert wurde, wollte sie nicht sagen, wie viele Fortinet-Kunden durch diese Hacking-Kampagne kompromittiert wurden, sagte aber, dass das Unternehmen „proaktiv mit Kunden kommuniziert“.
Es ist auch unklar, wer hinter den Angriffen auf Fortinet-Firewalls steckt, sondern der Cybersicherheitsforscher Kevin Beaumont schreibt über Mastodon dass die Sicherheitslücke „von einem Ransomware-Betreiber ausgenutzt wird“.
Hostetler sagte, dass Ransomware-Angriffe, die den Fehler ausnutzen, „nicht vom Tisch“ seien, und wies darauf hin, dass Arctic Fox in früheren Untersuchungen „beobachtet habe, dass Partner von Ransomware-Gruppen wie Akira und Fog einige der gleichen Netzwerkanbieter nutzten, um VPN-Konnektivität herzustellen“.
In eine kurze Stellungnahme Am Dienstag forderte die US-Cybersicherheitsbehörde CISA Fortinet-Kunden auf, alle betroffenen Geräte zu aktualisieren.
Im September meldete Fortinet einen Verstoß gegen Kundendaten, nachdem ein Angreifer auf „eine begrenzte Anzahl von Dateien“ zugegriffen hatte, die auf einem gemeinsam genutzten Cloud-Laufwerk eines Drittanbieters des Unternehmens gespeichert waren.